个人中心
gpt4 book ai didi

winapi - 可以有一个没有可执行文件支持的图像的过程吗?

转载 作者:行者123 更新时间:2023-12-04 14:51:31 30 4
gpt4 key购买 nike

在查看了各种页面后,如 OSR OnlineNtInternals , 好像是 NtCreateProcess (和 ZwCreateProcess )指定为内存部分提供句柄是可选的!

这是否意味着我们可以拥有不受可执行镜像支持的进程?如果是这样,它们可能(或它们)可能用于什么?这是否意味着我们可以将可执行文件完全复制到内存中,然后甚至从磁盘中删除文件,并让进程继续运行?这似乎是一个非常有用的功能。

最佳答案

如果节(win32 域中的文件映射)为 NULL,则使用父进程的节。可能可以使用 NULL 并分配新内存并将 EIP 指向它(或使用页面文件映射),但使用 NtCreateProcess 是有问题的,它没有记录,并且不像 CreateProcess 那样在 win32 子系统中注册。 (如果您只想使用 ntdll 的导出,这可能没问题)

在 Win9x、NT4 和 2000 上,您可以在运行时使用列出的肮脏技巧从磁盘中删除自己 here .

其他选项:

  • 使用驱动,加载后可以删除(sysinternal 工具会这样做)
  • 使用主机进程;启动explorer.exe,cmd.exe或rundll32.exe挂起,使用CreateRemoteThread+注入(inject)代码(这当然意味着磁盘上有exe文件,但没有你的代码)

    • 关于winapi - 可以有一个没有可执行文件支持的图像的过程吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5347101/

    30 4 0
    文章推荐: entity-framework-4 - 如何使用存储库模式预先加载子实体
    文章推荐: 带有条件连接查询的 Hibernate 帮助
    文章推荐: HierarchyID 如何从 child 那里获得所有 parent
    文章推荐: cmake - 如何更改 CMake 输出解决方案和项目文件的目录?
    行者123
    个人简介

    我是一名优秀的程序员,十分优秀!

    滴滴打车优惠券免费领取
    滴滴打车优惠券
    全站热门文章
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com